Azure İzleyici güvenliğine genel bakış ve yönergeler
Bu makalede, Azure İyi Tasarlanmış Çerçeve'nin bir parçası olarak Azure İzleyici için Güvenlik yönergeleri sağlanır.
Azure İzleyici güvenlik yönergeleri, Azure İzleyici'nin güvenlik özelliklerini anlamanıza ve bunları aşağıdakilere göre güvenliği iyileştirmek için nasıl yapılandırabileceğinizi anlamanıza yardımcı olur:
- teknoloji altyapısını yöneten ekipler için güvenlik yönergeleri sağlayan Bulut Benimseme Çerçevesi.
- Güvenli uygulamalar oluşturmaya yönelik mimari en iyi yöntemleri sağlayan Azure İyi Tasarlanmış Çerçeve.
- Kullanılabilir güvenlik özelliklerini ve önerilen en iyi yapılandırmaları açıklayan Microsoft bulut güvenliği karşılaştırması (MCSB).
- Sıfır Güven güvenlik ekipleri için Sıfır Güven bir modernizasyon girişimini desteklemek üzere teknik özellikler uygulamaya yönelik rehberlik sağlayan güvenlik ilkeleri.
Bu makaledeki yönergeler Microsoft güvenlik sorumluluk modeline göre oluşturulmuştır. Bu paylaşılan sorumluluk modelinin bir parçası olarak Microsoft, Azure İzleyici müşterileri için şu güvenlik önlemlerini sağlar:
- Azure altyapı güvenliği
- Azure müşteri veri koruması
- Veri alımı sırasında aktarımdaki verilerin şifresi
- Bekleyen verilerin Microsoft tarafından yönetilen anahtarlarla şifrelenmesi
- Veri düzlemi erişimi için Microsoft Entra kimlik doğrulaması
- Yönetilen kimlikleri kullanarak Azure İzleyici Aracısı ve Application Insights kimlik doğrulaması
- Rol Tabanlı Erişim Denetimi (Azure RBAC) kullanarak veri düzlemi eylemlerine ayrıcalıklı erişim
- Endüstri standartları ve düzenlemeleriyle uyumluluk
Günlük alımı ve depolama
Tasarım denetim listesi
- Kuruluşunuzdaki farklı roller için gereken çalışma alanında farklı veri türleri için erişimi yapılandırın.
- Çalışma alanınıza genel ağlardan erişimi kaldırmak için Azure özel bağlantısını kullanın.
- Hangi kullanıcıların sorgu çalıştırdığını izlemek için günlük sorgusu denetimini yapılandırın.
- Denetim verilerinin değişmezliğini sağlayın.
- Çalışma alanınızdaki hassas verileri filtrelemek veya karartmak için bir strateji belirleyin.
- Yanlışlıkla toplanan hassas verileri temizleme.
- Müşteri tarafından yönetilen anahtarları kullanarak çift şifreleme ve Microsoft Azure'ın Microsoft veri erişim isteklerini onaylaması veya reddetmesi için müşteri Kasası gibi gelişmiş güvenlik özellikleri için çalışma alanınızı ayrılmış bir kümeye bağlayın.
- Aracıları, bağlayıcıları ve Günlükleri alma API'sini kullanarak çalışma alanınıza veri göndermek için Aktarım Katmanı Güvenliği (TLS) 1.2 veya üzerini kullanın.
Yapılandırma önerileri
| Öneri | Avantaj |
|---|---|
| Kuruluşunuzdaki farklı roller için gereken çalışma alanında farklı veri türleri için erişimi yapılandırın. | Kaynak sahiplerinin çalışma alanına açık erişim verilmeden verilerine erişmek için kaynak bağlamını kullanmasına izin vermek için çalışma alanının erişim denetimi modunu Kaynak veya çalışma alanı izinlerini kullan olarak ayarlayın. Bu, çalışma alanı yapılandırmanızı basitleştirir ve kullanıcıların erişmemeleri gereken verilere erişememelerini sağlamaya yardımcı olur. Yöneticilere abonelik, kaynak grubu veya çalışma alanı düzeyinde sorumluluklarının kapsamına bağlı olarak çalışma alanı izinleri vermek için uygun yerleşik rolü atayın. Birden çok kaynakta bir tablo kümesine erişmesi gereken kullanıcılar için tablo düzeyinde RBAC uygulayın. Tablo izinleri olan kullanıcılar, kaynak izinlerinden bağımsız olarak tablodaki tüm verilere erişebilir. Çalışma alanında verilere erişim izni vermek için farklı seçeneklerle ilgili ayrıntılar için bkz. Log Analytics çalışma alanlarına erişimi yönetme. |
| Çalışma alanınıza genel ağlardan erişimi kaldırmak için Azure özel bağlantısını kullanın. | Ortak uç noktalara yönelik bağlantıların güvenliği uçtan uca şifreleme ile sağlanır. Özel uç nokta gerekiyorsa, kaynakların yetkili özel ağlar aracılığıyla Log Analytics çalışma alanınıza bağlanmasına izin vermek için Azure özel bağlantısını kullanabilirsiniz. Özel bağlantı, ExpressRoute veya VPN aracılığıyla çalışma alanı verilerinin alımını zorlamak için de kullanılabilir. Ortamınız için en iyi ağ ve DNS topolojisini belirlemek için bkz. Azure Özel Bağlantı kurulumunuzu tasarlama. |
| Hangi kullanıcıların sorgu çalıştırdığını izlemek için günlük sorgusu denetimini yapılandırın. | Günlük sorgusu denetimi , çalışma alanında çalıştırılacak her sorgunun ayrıntılarını kaydeder. Bu denetim verilerini güvenlik verileri olarak değerlendirin ve LAQueryLogs tablosunun güvenliğini uygun şekilde sağlayın. Yerel çalışma alanına gönderilecek her çalışma alanının denetim günlüklerini yapılandırın veya işletimsel ve güvenlik verilerinizi ayırırsanız ayrılmış bir güvenlik çalışma alanında birleştirin. Bu verileri düzenli aralıklarla gözden geçirmek için Log Analytics çalışma alanı içgörülerini kullanın ve yetkisiz kullanıcıların sorgu çalıştırmaya çalışması durumunda sizi proaktif olarak bilgilendirmek için günlük araması uyarı kuralları oluşturmayı göz önünde bulundurun. |
| Denetim verilerinin değişmezliğini sağlayın. | Azure İzleyici yalnızca ekli bir veri platformudur ancak uyumluluk amacıyla verileri silmeye yönelik hükümler içerir. Verileri silebilen tüm etkinlikleri engellemek için Log Analytics çalışma alanınızda bir kilit ayarlayabilirsiniz: temizleme, tablo silme ve tablo düzeyinde veya çalışma alanı düzeyinde veri saklama değişiklikleri. Ancak, bu kilit yine de kaldırılabilir. Kurcalamaya karşı tamamen dayanıklı bir çözüme ihtiyacınız varsa verilerinizi sabit bir depolama çözümüne aktarmanızı öneririz. Veri üzerinde değişiklik yapmaya karşı koruma sağlamak üzere değiştirilebilirlik ilkeleriyle bir Azure depolama hesabına veri göndermek için veri dışarı aktarmayı kullanın. Her günlük türü uyumluluk, denetim veya güvenlik açısından aynı ilgi alanına sahip değildir, bu nedenle dışarı aktarılacak belirli veri türlerini belirleyin. |
| Çalışma alanınızdaki hassas verileri filtrelemek veya karartmak için bir strateji belirleyin. | Hassas bilgiler içeren verileri topluyor olabilirsiniz. Belirli bir veri kaynağının yapılandırmasını kullanarak toplanmaması gereken kayıtları filtreleyin. Yalnızca verilerdeki belirli sütunların kaldırılması veya gizlenmesi gerekiyorsa dönüştürme kullanın. Özgün verilerin değiştirilmesini gerektiren standartlarınız varsa, çalışma kitaplarında görüntülenen sorgu sonuçlarını karartmak için KQL sorgularında 'h' değişmez değerini kullanabilirsiniz. |
| Yanlışlıkla toplanan hassas verileri temizleme. | Çalışma alanınızda yanlışlıkla toplanmış olabilecek özel verileri düzenli aralıklarla denetleyin ve kaldırmak için veri temizlemeyi kullanın. Yardımcı planlı tablolardaki veriler şu anda temizlenemez. |
| Müşteri tarafından yönetilen anahtarları kullanarak çift şifreleme ve Microsoft Azure'ın Microsoft veri erişim isteklerini onaylaması veya reddetmesi için müşteri Kasası gibi gelişmiş güvenlik özellikleri için çalışma alanınızı ayrılmış bir kümeye bağlayın. | Azure İzleyici, Bekleyen tüm verileri ve kaydedilen sorguları Microsoft tarafından yönetilen anahtarları (MMK) kullanarak şifreler. Ayrılmış bir küme için yeterli veri toplarsanız şunları kullanın: - Daha fazla esneklik ve anahtar yaşam döngüsü denetimi için müşteri tarafından yönetilen anahtarlar . Microsoft Sentinel kullanıyorsanız Microsoft Sentinel müşteri tarafından yönetilen anahtarı ayarlama makalesinde dikkat edilmesi gerekenler hakkında bilgi sahibi olduğunuzdan emin olun. - Microsoft Azure'ın müşteri verilerine erişim isteklerini gözden geçirmesi ve onaylaması veya reddetmesi için Müşteri Kasası. Müşteri Kasası, müşteri tarafından başlatılan destek biletine veya Microsoft tarafından tanımlanan bir soruna yanıt olarak bir Microsoft mühendisinin müşteri verilerine erişmesi gerektiğinde kullanılır. Kasa şu anda Yardımcı planlı tablolara uygulanamaz. |
| Aracıları, bağlayıcıları ve Günlükleri alma API'sini kullanarak çalışma alanınıza veri göndermek için Aktarım Katmanı Güvenliği (TLS) 1.2 veya üzerini kullanın. | Azure İzleyici'ye taşınan verilerin güvenliğini sağlamak için Aktarım Katmanı Güvenliği (TLS) 1.2 veya üzerini kullanın. TLS/Güvenli Yuva Katmanı'nın (SSL) eski sürümlerinin savunmasız olduğu tespit edilmiştir ve şu anda geriye dönük uyumluluk sağlamak için çalışmaya devam ederken , bunlar önerilmez ve sektör bu eski protokoller için desteği hızla bırakmak üzere hareket etmektedir. PCI Güvenlik Standartları Konseyi, TLS/SSL'nin eski sürümlerini devre dışı bırakmak ve daha güvenli protokollere yükseltmek için 30 Haziran 2018'de bir son tarih belirlemiştir. Azure eski desteği bıraktığında aracılarınız en az TLS 1.3 üzerinden iletişim kuramazsa Azure İzleyici Günlüklerine veri gönderemezsiniz. Aracınızı gerekli olmadıkça yalnızca TLS 1.3 kullanacak şekilde ayarlamamanızı öneririz. Aracının gelecekteki güvenlik standartlarını otomatik olarak algılamasına, anlaşmasına ve avantajlarından yararlanmasına izin vermek tercih edilir. Aksi takdirde, daha yeni standartların ek güvenliğini kaçırabilir ve TLS 1.3 bu yeni standartlar için kullanım dışı bırakıldığında sorunlarla karşılaşabilirsiniz. |
Uyarılar
Tasarım denetim listesi
- Çalışma alanlarınızdaki verileri ve kaydedilmiş sorguları korumak için kendi şifreleme anahtarınıza ihtiyacınız varsa müşteri tarafından yönetilen anahtarları kullanın
- İzinleri denetleyerek güvenliği artırmak için yönetilen kimlikleri kullanma
- Yapılandırma ayrıcalıklarına ihtiyacı olmayan tüm kullanıcılar için izleme okuyucusu rolünü atama
- Güvenli web kancası eylemlerini kullanma
- Özel bağlantılar kullanan eylem gruplarını kullanırken Olay hub'ı eylemlerini kullanın
Yapılandırma önerileri
| Öneri | Avantaj |
|---|---|
| Çalışma alanlarınızdaki verileri ve kaydedilmiş sorguları korumak için kendi şifreleme anahtarınıza ihtiyacınız varsa müşteri tarafından yönetilen anahtarları kullanın. | Azure İzleyici, Microsoft tarafından yönetilen anahtarlar (MMK) kullanılarak tüm verilerin ve kaydedilen sorguların beklemede şifrelenmesini sağlar. Kendi şifreleme anahtarınıza ihtiyacınız varsa ve ayrılmış bir küme için yeterli veri topluyorsanız, daha fazla esneklik ve anahtar yaşam döngüsü denetimi için müşteri tarafından yönetilen anahtarları kullanın. Microsoft Sentinel kullanıyorsanız Microsoft Sentinel müşteri tarafından yönetilen anahtarı ayarlama makalesinde dikkat edilmesi gerekenler hakkında bilgi sahibi olduğunuzdan emin olun. |
| Günlük araması uyarı kurallarının izinlerini denetlemek için günlük araması uyarı kurallarınız için yönetilen kimlikleri kullanın. | Geliştiriciler için yaygın olarak karşılaşılan bir zorluk, hizmetler arasındaki iletişimin güvenliğini sağlamak amacıyla kullanılan gizli dizilerin, kimlik bilgilerinin, sertifikaların ve anahtarların yönetimidir. Yönetilen kimlikler, geliştiricilerin bu kimlik bilgilerini yönetme gereksinimini ortadan kaldırır. Günlük araması uyarı kurallarınız için yönetilen kimlik ayarlamak, uyarı kuralınızın tam izinlerini denetlemenizi ve görünürlüğünüzü sağlar. İstediğiniz zaman kuralınızın sorgu izinlerini görüntüleyebilir ve doğrudan yönetilen kimliğine izin ekleyebilir veya kaldırabilirsiniz. Ayrıca, kuralınızın sorgusu Azure Veri Gezgini (ADX) veya Azure Kaynak Grafı (ARG) erişiyorsa yönetilen kimlik kullanmak gerekir. Yönetilen kimlikler bölümünü inceleyin. |
| Yapılandırma ayrıcalıklarına ihtiyacı olmayan tüm kullanıcılar için izleme okuyucusu rolünü atayın. | Kullanıcılara rolleri için gereken en az sayıda ayrıcalık vererek güvenliği geliştirin. Bkz. Azure İzleyici'de roller, izinler ve güvenlik. |
| Mümkün olduğunda güvenli web kancası eylemlerini kullanın. | Uyarı kuralınız web kancası eylemleri kullanan bir eylem grubu içeriyorsa, ek kimlik doğrulaması için güvenli web kancası eylemlerini kullanmayı tercih edin. Bkz. Güvenli web kancası için kimlik doğrulamasını yapılandırma |
Sanal makine izleme
Tasarım denetim listesi
- VM'lerinizin güvenlik izlemesi için diğer hizmetleri kullanın.
- Özel uç nokta kullanarak Azure İzleyici'ye bağlanmak üzere VM'ler için Azure özel bağlantısını kullanmayı göz önünde bulundurun.
Yapılandırma önerileri
| Öneri | Açıklama |
|---|---|
| VM'lerinizin güvenlik izlemesi için diğer hizmetleri kullanın. | Azure İzleyici VM'lerinizden güvenlik olayları toplayabilir ancak güvenlik izleme için kullanılması amaçlanmamıştır. Azure, birlikte eksiksiz bir güvenlik izleme çözümü sağlayan Bulut için Microsoft Defender ve Microsoft Sentinel gibi birden çok hizmet içerir. Bu hizmetlerin karşılaştırması için bkz . Güvenlik izleme . |
| Özel uç nokta kullanarak Azure İzleyici'ye bağlanmak üzere VM'ler için Azure özel bağlantısını kullanmayı göz önünde bulundurun. | Ortak uç noktalara yönelik bağlantıların güvenliği uçtan uca şifreleme ile sağlanır. Özel uç nokta gerekiyorsa, VM'lerinizin yetkili özel ağlar üzerinden Azure İzleyici'ye bağlanmasına izin vermek için Azure özel bağlantısını kullanabilirsiniz. Özel bağlantı, ExpressRoute veya VPN aracılığıyla çalışma alanı verilerinin alımını zorlamak için de kullanılabilir. Ortamınız için en iyi ağ ve DNS topolojisini belirlemek için bkz. Azure Özel Bağlantı kurulumunuzu tasarlama. |
Kapsayıcı izleme
Tasarım denetim listesi
- Kapsayıcı içgörülerine bağlanmak için kümenizde yönetilen kimlik kimlik doğrulamasını kullanın.
- Özel uç nokta kullanarak Azure İzleyici çalışma alanınıza bağlanmak için kümeniz için Azure özel bağlantısını kullanmayı göz önünde bulundurun.
- Kümenize gelen ve kümenizden gelen ağ trafiğini izlemek için trafik analizini kullanın.
- Ağ gözlemlenebilirliğini etkinleştirin.
- Kapsayıcı içgörülerini destekleyen Log Analytics çalışma alanının güvenliğini sağlayın.
Yapılandırma önerileri
| Öneri | Avantaj |
|---|---|
| Kapsayıcı içgörülerine bağlanmak için kümenizde yönetilen kimlik kimlik doğrulamasını kullanın. | Yönetilen kimlik kimlik doğrulaması , yeni kümeler için varsayılandır. Eski kimlik doğrulaması kullanıyorsanız, sertifika tabanlı yerel kimlik doğrulamasını kaldırmak için yönetilen kimliğe geçmeniz gerekir. |
| Özel uç nokta kullanarak Azure İzleyici çalışma alanınıza bağlanmak için kümeniz için Azure özel bağlantısını kullanmayı göz önünde bulundurun. | Prometheus için Azure yönetilen hizmeti, verilerini varsayılan olarak genel uç nokta kullanan bir Azure İzleyici çalışma alanında depolar. Ortak uç noktalara yönelik bağlantıların güvenliği uçtan uca şifreleme ile sağlanır. Özel uç nokta gerekiyorsa, kümenizin yetkili özel ağlar aracılığıyla çalışma alanına bağlanmasına izin vermek için Azure özel bağlantısını kullanabilirsiniz. Özel bağlantı, ExpressRoute veya VPN aracılığıyla çalışma alanı verilerinin alımını zorlamak için de kullanılabilir. Kümenizi özel bağlantı için yapılandırma hakkında ayrıntılı bilgi için bkz . Azure İzleyici'de Kubernetes izlemesi için özel bağlantıyı etkinleştirme. Özel bağlantı kullanarak verilerinizi sorgulama hakkında ayrıntılı bilgi için bkz . Yönetilen Prometheus ve Azure İzleyici çalışma alanı için özel uç noktaları kullanma. |
| Kümenize gelen ve kümenizden gelen ağ trafiğini izlemek için trafik analizini kullanın. | Trafik analizi, Azure bulutunuzda trafik akışı hakkında içgörüler sağlamak için Azure Ağ İzleyicisi NSG akış günlüklerini analiz eder. Kümeniz için veri sızdırma olmadığından emin olmak ve gereksiz genel IP'lerin gösterilip gösterilmediğini algılamak için bu aracı kullanın. |
| Ağ gözlemlenebilirliğini etkinleştirin. | AKS için ağ gözlemlenebilirliği eklentisi, Kubernetes ağ yığınındaki birden çok katmanda gözlemlenebilirlik sağlar. kümedeki hizmetler (doğu-batı trafiği) arasındaki erişimi izleyin ve gözlemleyin. |
| Kapsayıcı içgörülerini destekleyen Log Analytics çalışma alanının güvenliğini sağlayın. | Kapsayıcı içgörüleri, Log Analytics çalışma alanına dayanır. Çalışma alanının güvenliğini sağlamak için öneriler için bkz . Azure İzleyici Günlükleri için en iyi yöntemler. |
Sonraki adım
- Azure İzleyici'nin tam dağıtımı için en iyi yöntemleri edinin.